برنامههای SAML شما از گواهیهای X.509 برای تأیید صحت و یکپارچگی پیامهای به اشتراک گذاشته شده بین ارائهدهنده هویت (IdP) و ارائهدهنده خدمات (SP) استفاده میکنند. به عنوان یک مدیر ارشد، میتوانید از کنسول مدیریت برای موارد زیر استفاده کنید:
- به راحتی گواهیهای X.509 مورد استفاده توسط برنامههای SAML خود را مشاهده کنید
- شناسایی گواهیهای X.509 که در شرف انقضا هستند
- گواهینامههای جدید ایجاد کنید و آنها را به برنامههای SAML خود اختصاص دهید. به این کار چرخش گواهینامه میگویند.
چرا گواهیهای SAML را باید چرخاند؟
گواهینامههای X.509 دارای طول عمر پنج ساله هستند. اگر گواهینامهای در شرف انقضا باشد یا در معرض خطر قرار گیرد، باید آن را تغییر دهید. اگر گواهینامهای قبل از تغییر آن منقضی شود، کاربران شما نمیتوانند از SSO برای ورود به هیچ برنامه SAML که از آن گواهینامه استفاده میکند استفاده کنند تا زمانی که آن را با یک گواهینامه جدید جایگزین کنید.
قبل از انقضای گواهی پیشفرض خود، یک گواهی دوم با طول عمر ۵ ساله جدید اضافه کنید، سپس برنامههای خود را از گواهی در حال انقضا تغییر دهید. داشتن دو گواهی معتبر به شما این امکان را میدهد که برخی از برنامهها را به عنوان آزمایش به گواهی جدید منتقل کنید، بدون اینکه برنامههایی که هنوز از گواهی قدیمیتر استفاده میکنند تحت تأثیر قرار گیرند. وقتی همه برنامهها را به گواهی جدید منتقل کردید، میتوانید گواهی قدیمی را حذف کنید.
مهم: پس از اختصاص یک گواهی جدید به یک برنامه SAML در کنسول مدیریت، باید پیکربندی SSO سمت SP مربوطه را نیز با گواهی جدید بهروزرسانی کنید، در غیر این صورت SSO با برنامه از کار میافتد.
مدیریت گواهیهای SAML
حساب شما یک گواهی پیشفرض دارد که میتوانید برای همه برنامههای SAML خود استفاده کنید. میتوانید یک گواهی دوم اضافه کنید، یا یک یا هر دو گواهی را حذف کنید و گواهیهای جدیدی ایجاد کنید:
در کنسول مدیریت گوگل، به منو بروید
امنیت
احراز هویت
SSO با برنامههای SAML
برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.
بخش گواهینامهها، گواهینامههای X.509 فعلی شما را نشان میدهد. میتوانید حداکثر ۲ گواهینامه را همزمان داشته باشید. نام گواهینامه، تاریخ انقضا، محتویات و اثر انگشت SHA-256 نمایش داده میشوند. از دکمههای سمت راست برای کپی، دانلود یا حذف یک گواهینامه استفاده کنید.
(اختیاری) اگر فقط یک گواهی دارید، برای ایجاد گواهی دوم، روی «افزودن گواهی دیگر» کلیک کنید.
توجه: جدیدترین (جدیدترین) گواهی تولید شده، گواهی پیشفرض مورد استفاده برای تنظیم SSO برای برنامههای جدید SAML میشود.
(اختیاری) برای ایجاد یک گواهی جدید:
روی حذف کلیک کنید
برای حذف یک گواهی
اگر گواهینامهای که حذف میکنید توسط هر برنامه SAML نصبشدهای استفاده میشود، پنجرهای برنامههای آسیبدیده را فهرست میکند و به شما هشدار میدهد که SSO با برنامه تا زمانی که گواهینامه جدیدی به آن برنامهها اختصاص ندهید، در دسترس نخواهد بود.
روی حذف گواهی کلیک کنید. حذف گواهی این نتایج را دارد:
- اگر یک گواهی داشته باشید، یک گواهی جدید به طور خودکار برای جایگزینی آن ایجاد میشود.
- اگر دو گواهی داشته باشید و گواهی ۱ را حذف کنید، گواهی ۲ جایگزین گواهی ۱ میشود.
اگر گواهی استفاده شده توسط هر یک از برنامههای SAML خود را جایگزین کردهاید، مراحل بخش بعدی را برای اختصاص گواهی جدید به برنامههای آسیبدیده دنبال کنید. همچنین باید گواهی را در تنظیمات SSO برای آن برنامهها در وبسایت اداری SP بهروزرسانی کنید.
نکته: رویدادهای گواهی SAML (حذف، ایجاد، تغییر گواهی اختصاص داده شده به برنامه SAML) در گزارش حسابرسی مدیریت ثبت میشوند.
بهروزرسانی گواهینامهی مورد استفاده توسط یک برنامهی SAML
در کنسول مدیریت گوگل، به منو بروید
برنامهها
اپلیکیشنهای وب و موبایل .
نیاز به داشتن امتیاز مدیر مدیریت دستگاه تلفن همراه دارد.
- برای باز کردن صفحه تنظیمات، روی برنامه SAML کلیک کنید.
روی جزئیات ارائهدهنده خدمات کلیک کنید.
در قسمت Certificate ، گواهی فعلی مورد استفاده توسط برنامه، شامل شناسه گواهی و تاریخ انقضا نشان داده میشود. اگر گواهیای را که در ابتدا برای راهاندازی برنامه استفاده شده بود حذف کرده باشید، هشدار «گواهینامهای اختصاص داده نشده است» را مشاهده خواهید کرد.
روی پیکان رو به پایین کلیک کنید
و یک گواهی انتخاب کنید.(اختیاری) اگر گواهی دیگری موجود نیست، یا نیاز به ایجاد گواهیهای جدید دارید، روی مدیریت گواهیها کلیک کنید و دستورالعملهای مدیریت گواهیهای SAML در بالا را دنبال کنید.
پس از تغییر گواهی اختصاص داده شده به برنامه SAML، مطمئن شوید که پیکربندی SSO برنامه را نیز با گواهی جدید در وبسایت ارائهدهنده خدمات بهروزرسانی کنید. SSO با برنامه SAML تا زمانی که پیکربندی سمت SP نیز بهروزرسانی نشود، کار نخواهد کرد.
مهم: پس از تعویض گواهی، ممکن است تا ۲۴ ساعت طول بکشد تا گواهی جدید برای استفاده توسط برنامههای SAML شما در دسترس قرار گیرد.